<
יום שבת , דצמבר 16 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > איומי סייבר – שולחן עגול

איומי סייבר – שולחן עגול

שולחן עגול סייבר

צילום: עומר ארמוני

האם יש מקום להסדיר את האחריות על נושא הסייבר? איך מדינת ישראל יכולה לסייע בכך? האם יש מקום לגוף מרכזי מטעם המדינה שיגן על חברות וארגונים פרטיים? 

מאת: ניסן קובלסקי 

שי זנדני:  נושא הסייבר חם מאוד; אפילו לוהט. רבים טוענים שסייבר הוא למעשה מיתוג חדש של אבטחת מידע. מה בעצם ההבדל לדעתכם בין סייבר לאבטחת מידע?

שרון עוזיאל:   סייבר הוא הרחבה למושג אבטחת מידע כי הוא משלב בתוכו עולמות תוכן רבים הן בפן הטכנולוגי והן בפן החברתי-פסיכולוגי. השינוי המהותי כאן הוא מעבר מגישה ראקטיבית לגישה פרואקטיבית. בסביבה רחבת היקף וחוצה תחומים שמביאה עימה שינוי תפיסתי בכל הקשור לניהול אירועים חריגים ממקורות שונים ותחקורם. לרוב קשה מאוד להעריך מהו היעד הסופי של התוקף, פוליטי או עסקי, ולא בהכרח, הצד הנתקף הוא המטרה המרכזית.

ליאור כוכבי: סייבר או במינוחו הצבאי: המימד החמישי של מרחב הלחימה הינו שם כולל למגוון רחב של תחומים צבאיים, מודיעיניים, עסקיים, ופרטיים  בהם נעשה שימוש במרחב האינטרנט בכדי לנצל פגיעויות או לאיסוף ידע, אבטחת מידע הינה תת-תחום במימד זה. הפגיעה בתשתיות לאומיות קריטיות (אסטוניה, ערב הסעודית, גיאורגיה) שמהוות אתגר  קיברנטי, הונאות כספים המהוות אתגר למערכות הפיננסיות והביטוחיות  בשילוב פגיעה בחיי היום יום של האזרח הקטן (בקשות כופר למכשירים ניידים, והשתלטות על מוצרים בבית – "אינטרנט של המוצרים") תרמו לצורך במונח רחב יותר לבעיה כגון אבטחת סייבר.

אילן עבדי:  הבאז נוצר כי רב הנסתר על הגלוי. וחוסר ידיעה, מדמיינים מפלצות. ההתקפות היום ברמה גבוהה מאוד, והשוק לא יודע איך להגיב עליהן. היום, מכה קשה יכולה להוריד את הארגון על הברכיים ואפילו לחסל אותו לגמרי. זו הסיבה לדעתי שהמילה סייבר נכנסה. אבל המילה סייבר תמיד הייתה ואם יש משהו שמייצג את העולם שלנו הוא "איום עקבי מתקדם", שנקראAPT [Advanced Persistent Threat]. זה איום רציני ביותר, השונה מרוב הפוגעניים שלא יכולים לגרום לנזק כבד ומשמעותי.

אדי גולדנשטיין: איום הסייבר תמיד היה חלק מאבטחת מידע, אך בהסתכלות קצת אחרת. אם בכל זאת להגדיר את הסייבר אז באמת יש לדבר על APT. מעטים הארגונים העסקיים בארץ שספגו והתמודדו  בהצלחה עם ההתקפות האלה. באמת מאוד קשה להכין ולערוך את מנגנוני האבטחה למתקפה שהינה ממוקדת, רב שלבית ושכבתית, ואיננה מוכרת וזהו בעצם האתגר הגדול והיתרון שצברנו בהגנה על ארגונים עסקיים מותקפים. למרות שקיימים היום פתרונות בשוק לזיהוי הAPT, על פתרונות אלה עדיין להוכיח את עצמם בשטח כנגד מתקפות אמיתיות.

דוד פלדמן:  המילה סייבר הופיעה כבר מזמן מקורה ביוונית (Kybernetes) שהתגלגלה לתחום המתמטיקה (Cybernetics) ומשם לתחום האינטרנט (Cyber), אבל כמו שלאחרונה המילה הסדרה, הפכה להיות ה-מילה, גם סייבר זה בעצם מיתוג מחדש. סייבר בא ואומר: מישהו ישב והשקיע זמן כדי להכניס את האצבע לתוך הארגון שלך. הם אלה שנכנסים לתוך ארגון, פותחים את מאגר המידע, מצפינים אותו ושולחים לו הודעת כופר. התחלנו עם וירוסים, עברנו לספאם, אחר כך הגענו לדוד העשיר בניגריה ואחר כך הגענו לסוג של פישינג, שליחה המונית בתקווה שמשהו יתפוס. היום, יותר ויותר אנחנו נלחמים מול דבר אחד, מייל אחד ש-95% ממנו נכונים ומדויקים ומכוונים אליך. אל הפרופיל שלך. זה השינוי, מצב שבו צריך להתארגן מחדש ומי שירוץ ויתארגן מחדש ייקח את כל הקופה.

ניסן משכיל: מתוך הרקע שלנו אנו רואים את הסייבר כחלק אינטגרלי, שהתפתח מתוך הלוחמה האלקטרונית. הראיה של הסייבר כמרחב; מימד חדש היכול להפעיל תחומי עניין חדשים היא רק תחילת הכרותינו את המרחב. נכון, חלק מפעילויות הגנת סייבר הם מתחום הגנת מידע , אבטחת מידע אך זה רק חלק מהתמונה הרחבה. כפי שאבטחת תוכנה , הצפנה, אבטחת קשר הינם חלק ממערכות הגנת לוחמה אלקטרונית, חלק ממימד הגנת סייבר הינו מרכיב של בחינת כוונות בסייבר ובחינת שגרת סביבת ההגנה. נושאים אילו שאנו רואים כחיוניים לצורך גילוי מוקדם של פעילות תקיפה בסייבר מוסיפה מימד של מודיעין סייבר הכולל נושאים רבים.

דן רבינוביץ':  ניתן להסתכל על המונח "סייבר" במובן רחב ובמובן צר. במובן הרחב מדובר באבטחת מידע. במובן הצר והאינטואיטיבי יותר, מדובר בהגנה בפני הכוונה של גורם כלשהו לנצל משאבי מחשוב ותקשורת כדי לתקוף. בהתחשב בכוונת התוקף ובהיקף ותחכום ההתקפה, זה יכול להתבטא בלוחמה אלקטרונית נגד ארגונים ותשתיות לאומיות, או בפשע קיברנטי נגד ארגונים או אנשים פרטיים. APT זו אכן תופעה בולטת וחשובה, אך לאו דווקא מייצגת. ככלל, מוקדם לדעת אם המונח "סייבר" יחליף פעם את מונח "אבטחת המידע" או שימשיך להתקיים לצידו – הנבואה ניתנה לסטטיסטיקאים, אבל נשיא  ארה"ב וממשלתו, כבר מדברים על סייבר ורוב הגופים הרגולטוריים, מכוני הסטנדרטים והארגונים הנלחמים בפשע קיברנטי, פרסמו מסמכים והקימו רשויות תחת השם "סייבר". הדוגמא המשמעותית ביותר הינה פרסום מסמך ה- Cyber security Framework ע"י NIST לפני כשנה.

שולחן עגול סייבר 2

צילום: עומר ארמוני

גאורגי ויינבלט: מהות המקצוע של אבטחת מידע לא השתנתה. השם הזה, סייבר, הוא הכרה בשינוי מהותי גם באיכות וגם בכמות של ההתקפות. כמו אקטיביזם פוליטי או מדינות שממש לובשות את מעיל ההאקרים. למשל, המאבק האחרון בין רוסיה לבין ארה"ב, העיצומים שהם הטילו על הרוסים והפגיעה של הרוסים חזרה בבנקים ובחברות כרטיסי האשראי אמריקאיות, הוא המחיש את השם החדש, המצדיק את עצמו במידה רבה.

שי זנדני:  כבר בשנת 2007, בעימות בין רוסיה לגיאורגיה, נגרמה השבתה של משאבי ממשל גיאורגיים כתוצאה מהתקפות סייבר. גם בשנותיי בחיל האוויר, במסגרת צוות לוחמת המידע, השתתף גורם מודיעיני שסיפק לנו מידע מעודכן על יכולות האויב, לאן הוא מתקדם ומה הכיוונים בטווח הקצר, הבינוני והארוך. בהתאם למידע שהוא סיפק, אנחנו היינו צריכים לבנות התקפה או הגנה רלוונטית.  כלומר הסייבר משתנה, ועכשיו ארגונים פרטיים צריכים להתגונן לא רק מפני תוקפים בודדים אלא מפני ארגונים ואפילו מדינות. עד עכשיו, בעידן "אבטחת המידע" רצינו להגן על הכסף או על קניין רוחני. לא שיערנו שנצטרך להתגונן מפני טרור סייברי של חיזבאללה, חמאס או אולי אפילו דאע"ש. איך אתם כארגונים גדולים מתמודדים עם השינוי הזה?

ליאור כוכבי: סיירן כחברת אבטחת סייבר מובילה המספקת שרותי הגנה מתקדמים לכדי 550 מליון משתמשים בכל העולם פועלת בשני מישורים: האחד מתן שרותי הגנה מקיפים ללקוחותינו (אנטי-וירוס, אנטי-ספאם, אבטחת אימיילים, גלישה אינטרנטית מאובטחת ומוצפנת, ומנגנוני גילוי מתקדמים להתקפות  APT   ממעבדות מחקר הפוגעניים) בדגש ליכולות זיהוי התקפות עולמיות בשלבים מוקדמים  ואיסוף מודיעיני ברשתות  שחורות  המאפשרים הגנה  מיטבית ללקוח בכול מקום ולכול מכשיר.  במישור השני, כארגון אבטחה אנו יעד מרכזי של תוקפים המנסים לפגוע במרכזי השליטה והבקרה שלנו או להזליג מידע רגיש של מבנה המערכות ולכן התייחסותנו אל עצמנו כ"ארגון בסיכון", ברמה גבוהה מאד (בדומה לגוף בטחוני), ואנו מצוידים במיטב מערכות ההגנה המובילות בשוק.

שרון עוזיאל: מודעות וחינוך בשילוב טכנולוגיה הם הבסיס להיערכות מתאימה. כיום, ארגונים מודעים וחשופים יותר לאיומים הפוטנציאליים אך עם זאת יודעים להעריך בצורה מושכלת את הסיכון כנגד הסיכוי, ומקבלים החלטות בהתאם. בהיבט הטכנולוגי, הרצון הוא להגיע לסטנדרטיזציה ושיתוף מידע שתעניק מעטפת הגנתית טובה יותר מפני איומים מתמידים. אורקל מספקת פלטפורמה פתוחה וגמישה הכוללת כלים ויכולות שעוזרים לארגונים קטנים כגדולים לייצר מערכי הגנה מתוחכמים ומגבירים את רמת המודעות של מקבלי ההחלטות בארגון.

אילן עבדי: ההתייחסות ברמה הראשונה צריכה להיות מההנהלה, ממועצת המנהלים. אצלנו בטבע, אחד האלמנטים שנכנסו לניהול סיכון על ידי ההנהלה הבכירה הוא הסייבר. בעולם הפארמה, תהליך ייצור התרופה חייב להיות ברמה הגבוהה ביותר של אמינות. יש תהליכים ובקרות. בעוד כשנתיים-שלוש כל תהליך התרופה יהיה על שבב שיוצמד לתרופה. אתה בבית תוכל להעביר סריקה ולדעת בדיוק את כל תהליך התרופה. כבר היום, כשאתה מייצר כ 64 מיליארד קפסולות בשנה הכול אוטומטי, רץ על מערכות מידע. אתה לא יכול להתעלם מהסיכון ומי שמעלה את הסיכון זה הצד העסקי. סיכון אי אפשר להעלים, רק להקטין את החשיפה אליו. העבודה שלנו בטבע מתרכזת בלהבין את הסיכון ולהבין מה בעסק נמצא בסיכון שעלול לגרום לנו נזק משמעותי, ואיך לפנות לנושא.

אדי גולדנשטיין: בבזק בינלאומי, שאני אמון על אבטחת המידע בה, מושקעים לא מעט משאבים בהתמודדות עם ATP ממוקד. לחברות  עסקיות, גדולות ככל שיהיו, יהיה מאוד קשה אם צבא של מדינה יחליט להתמודד מולן. הן ללא ספק יפסידו במלחמה. אנחנו בוחנים את הסיכונים כנגד הסיכוי לאיום, נערכים ומתגוננים בהתאם. אחרי שנים של ירידה, אנחנו רואים עלייה דרסטית בשנתיים האחרונות של מתקפות DDoS. במהלך צוק איתן, כמו כמעט בכל מבצע צבאי או מלחמה, הינו עדים לעליה בכמות מתקפות אלה. בצוק איתן כמות התעבורה שהגיעה מחו"ל הייתה אדירה ובפיזור גיאוגרפי רחב, ממדינות רבות ולא מיעדים ספציפיים כפי שהיה בעבר. במהלך צוק איתן חווינו בישראל גם התקפות ממוקדות, לא רק על המשרדים הממשלתיים,  כי אם גם על  שירותי ה ISP. המטרה ברורה, כשאין אינטרנט זו בעיה חמורה. אז איך אנחנו מתמודדים? לפני כשנתיים הקימה בזק בינלאומי מערך הגנה מפני מתקפות DDoS. מערך זה נועד להתמודד עם כמות גדולה מאוד של תעבורה, לזהות ולסנן את התעבורה הזדונית ולהעביר את התעבורה הלגיטימית ללא פגיעה בשירות. היתרון הגדול של מערך זה הוא שאנחנו בבזק בינלאומי מספקים את ההגנה בשכבת ה-Service Provider. כך שמתקפה נעצרת ברשת של ספקית השירות ולא יורדת לקו או לציוד הקצה של מותקף שהם בדרך כלל מהווים את צוואר הבקבוק במתקפות מסוג זה.השירות שאנו מספקים מבוסס על מערכת ה ARBOR  החדשנית בישראל והוא קיים רק בבזק בינלאומי ומגן בהצלחה רבה על ארגונים וגופים ציבוריים רבים

גיאורגי ויינבלט: התפקיד שלחטיבת הסייבר של ECI הוא להתמקד במתן פתרונות לעולם הסייבר. אנחנו מגיעים מעולם הרשת, ומרחיבים את הפורטפוליו בהיבט הסייבר עד לשכבה האפליקטיבית. התפיסה של עולם ה-NFV (Network Functions Virtualization) ש-ECI מפתחת בימים אלו, מאפשרת הבאת יכולות אבטחה לאותם אזורים ברשת שעד כה לא התמקדו בהם. הגענו למצב שבו  כאשר יש רשת גדולה יחסית, אנו יכולים לעצור את ההתקפה עוד לפני שהיא מגיעה לליבת הארגון. עולם ההתקפות מאוד רחב והפגיעה העסקית מאוד כבדה. אתר הימורים לדוגמה שבזמן משחק של מנצ'סטר יונייטד מול ברצלונה הופל והמהמרים לא יכולים להיכנס ולהמר, נפגע מאוד והפסיד כסף אמיתי, קל לכמת את הפגיעה הזו. יכול להיות שזו הסיבה שב"צוק איתן" הייתה התמקדות בסוג הזה של התקפות DDoS. לנו יש את היכולת להסתכל על כל התעבורה, לעשות את האנליזה ע"י אלגוריתמים של Big Data וזיהוי אנומליות ולמנוע  זאת.

שולחן עגול סייבר 3

צילום: עומר ארמוני

דוד פלדמן:  PineApp מזוהה בישראל עם אי-מייל סקיוריטי, אבל ב-4 השנים האחרונות פיתחנו את היכולת, שבמידה ותינתן הגישה, נקבל, תוך שעה, דוח על כל המכשירים הנגועים במדינת ישראל. הסטטיסטיקות היום מדברות על כך שאחד מכל שלושה מחשבים נגועים. פעם הייתה דילמה, להתקין אנטי וירוס על המחשב או לא להתקין. היום אני אומר, אל תתקינו אנטי וירוס על המחשב, פשוט אל תשימו את הדברים החשובים עליו. מחשב שהילדים משחקים איתו, עירום. ככורח עסקי פרטי, PineApp החליטה לפני מספר שנים שהיא משנה את אופי הפעילות שלה והולכת לעולם של חברות ספקיות האינטרנט וחברות הטלקום. אחת הדוגמאות היפות היא לקוח גדול שלנו, חברת הטלקום של תאילנד. לפני ההתקנה, תאילנד הייתה מוגדרת כמקום העשירי בעולם ברמת הפצת הספאם. אחרי ההתקנה, היא כבר לא ברשימה. יש פרדוקס בעולם הזה של ספקיות האינטרנט וחברות הטלקום, כי יש להן לקוח אבל אין להן שום סמכות על המחשב שלו. לך תתקשר לאותה משפחה בפתח תקווה שהמחשב שלה כרגע מפוצץ את משרד רוה"מ בספאם.

דן רבינוביץ': בשלב זה, אנו במשרד רו"ח וייעוץ עסקי BDO זיו האפט לא רואים את עצמנו כמטרה עיקרית להתקפות סייבר. פרט למקרה בודד של השחתה מינורית של אתר האינטרנט, גם במהלך מבצע 'צוק איתן' לא הרגשנו שאנחנו מהווים מטרה בולטת. יחד עם זאת, אנחנו עם היד על הדופק ואנחנו מנהלים את הסייבר כסיכון תפעולי. גם עבור הלקוחות שלנו אנחנו מעריכים ומנהלים סיכוני סייבר והדגש הינו על ניהול סיכונים, שכן לא כל ארגון מוכרח להשקיע באבטחת סייבר כמו בבנקים, ברפא"ל או בטבע, אך הוא חייב להעריך באופן יסודי ושוטף את חשיפתו לסיכונים אלו ולקבוע את הרף המינימאלי של הגנה שעליו ליישם.

ניסן משכיל: ארגונים בדרך כלל פועלים מתוקף מזעור סיכונים או רגולציה. כיום המודעות לנושא התפתחה והיא נכנסת לתוכניות ניהול סיכונים של ארגונים שבהתאם ממגנים ומנהלים סיכון. בתחום החברות הביטחוניות הרגולציה מחייבת העלאה משמעותית של הגנה על החברה, נכסי החברה ובעיקר לספק מערכות המוגנות סייבר במהלך הפיתוח והבדיקות, תחום מורכב מתפתח בתחומים שונים .

שי זנדני:  ישנה גם השאלה של האחריות: כאשר ארגון נערך למתקפה הוא נעזר באנשי מקצוע מתחומים שונים, אך לא תמיד למנהל הארגון יש את הידע והכלים המתאימים כדי לבחון את המלצות אנשי המקצוע, או כדי לקבל לבסוף את ההחלטות האופרטיביות הטובות ביותר לארגון. בארה"ב כבר ניכרת מגמה של אחריות אישית של המהלים הבכירים על הנושא – ולא אנשי ה-IT או מנהלים בדרג נמוך יותר. דוגמה לכך היא ההתפטרות של מנכ"ל רשת טארגט, שספגה פריצה חמורה. האם אתם סבורים שיש מקום להסדיר את האחריות על נושא הסייבר? ובזירה המקומית – איך אתם חושבים שמדינת ישראל יכולה לסייע בכך? האם יש מקום לגוף מרכזי מטעם המדינה שיגן על חברות וארגונים פרטיים?

ליאור כוכבי:  כיום, האינטרנט הינו חלק אינטגרלי ומרכזי בחיינו, כמעט כול פעולה שאנו מבצעים מנוטרת באמצעות הרשת ולכן גם חשופה להתקפה. מערכות הממשל אינם יכולות להתמודד עם היקף הבעיה ולכן בשנים האחרונות הן פועלות במספר מימדים שזוהו ע"י המטה הקיברנטי כבעלות השפעה : כול ארגון מסווג בהתאם לרמת השפעתו כתשתית קריטית/חיונית למדינה וזוכה להכוונה, מתבצעת השקעה בתוכניות לימודיות בתיכונים ומוסדות אקדמיים, ישנו מימון ממשלתי למיזמי הגנת סייבר רבים, ופעילות חקיקה המנסה להגדיר את עולם פשעי-הסייבר. הפערים עדין גדולים, אך בהחלט נעשים מאמצים רבים בנושא, ויחול שיפור ניכר בתחום בשנים הקרובות. סיירן כשותפה פעילה באתגרים אלו בתחומים שונים עם הממשל, תורמת מניסיונה העולמי במטרה להבטיח סביבה בטוחה יותר לאזרחים.

שרון עוזיאל: קווי ההגנה וחוסן של מדינה מתחילים מהסקטור האזרחי-פרטי שמהווה חלק בלתי נפרד ממערך ההגנה הלאומי. במצב זה, רגולציה רק יכולה לתרום ולהגביר את רמת המודעות של ארגונים ולהכינם לדור הבא של איומי הסייבר. ישראל מקדימה מדינות רבות ברמת ההשקעה בסקטור האזרחי כאשר האתגר הגדול הוא התמודדות עם ריבוי טכנולוגיות ושיתוף מידע ערכי ברמה הלאומית. אורקל כבר פועלת בתחום זה יחד עם מספר גורמים משמעותיים בתעשייה.

אלי כהן:  אני בהחלט מסכים שבאחריות הנהלת הארגון לדאוג לנושא הסייבר כגורם משמעותי במשימות הארגוניות אולם סייבר הינו באחריות כלל העובדים בארגון. מחקרים שנערכו בנושא דליפות מידע,גניבת סודות מקצועיים וכדומה מוכיחים שלמעלה מ 70% מהמקרים בוצעו על ידי עובדי הארגון! זהו נתון מדהים שמוכיח את הצורך בתרבות ארגונית אשר מודעת לסכנות הסייבר ואבטחת המידע הארגוני.

דוד פלדמן:  בוודאי שכן. מדינה יכולה לראות פעילות ממקורות רבים, יש לה את היכולת לשים את הקלף על השולחן ולהגיד, זה קורה עכשיו, תעשו אל"ף בי"ת גימ"ל. אם פעם אמרנו, בוא תוודא שהאנטי וירוס שלך מותקן, היום צריך לומר, בוא נוודא שעושים לך ניטור על הרשת בכמה רמות כדי לפעול בצורה פרואקטיבית במידת הצורך.

אילן עבדי: בעולם הגשמי, אם מישהו היה תוקף אותנו, צה"ל היה מרביץ לו בחזרה. אם מישהו מרביץ לי בעולם הרשת, שהוא כביכול חסר גבולות, מי אמור להגן עליי? אובמה כבר אמר שמתקפת סייבר יכולה להיות עילה למלחמה פיזית. גם טבע, כגוף גדול ומוביל בעולם הפארמה עם הרבה כסף שמתגלגל, לא יכול להגן על עצמו אם סין או אפילו איראן, שמה אותה בין הכוונות. שום ארגון לא יכול להתמודד. רק מדינה מול מדינה. זה עניין של מה המדינה מגדירה כמשאב שיכול להיפגע או על מה היא צריכה להגן. זו שאלה עקרונית שככל שיעבור הזמן יותר יהיו התחבטויות ושאלות בנושא הזה. לדעתי, אין ספק שנראה פה רמה הולכת וגוברת של רגולציות, חוקים ואקטיביזם ממשלתי.

אדי גולדנשטיין: כל הנחייה או רגולציה בנושא היא יתרון. מעבר להסדרת תהליכים, בניית נהלי עבודה ומתודולוגיה, כל רגולציה מתחילה מרתימת ההנהלה הבכירה לתהליך. לאחר שהנהלה נרתמת היא גם מודעת יותר לאיומים הקיימים וגם משקיעה יותר משאבים לטיפול באותם האיומים.

בזק בינלאומי כחברת IT ואינטגרציה מובילה בישראל, ממוקדת כבר מספר שנים בהטמעת מגוון של פתרונות אבטחת מידע וסייבר ללקוחותיה. מעבר לכך, חלק מהשירותים של בזק בינלאומי מוגדרים כקריטיים ברמה הלאומית, כך שאנחנו מהווים גוף מונחה על ידי הרשות הממלכתית לאבטחת מידע על כל המשתמע מכך. אנו מזהים בעיה השכיחה בעסקים קטנים וגם לא מעט  גדולים אשר לא מונחים דרך קבע ואבטחת המידע לא נמצאת בראש מעייניהם. מניסיוננו, אין ספק שראוי שיהיה גוף אחד שינחה את כולם, שיתווה מדיניות לכל החברות וגם יספק מידע מודיעיני רלוונטי במקרה הצורך.

ניסן משכיל:  רגולציה קיימת, רגולציה קובעת אמות סף ומפתחת מודעות ארגונית לנושא. יש תמיד לנהל את הרגולציה כחלק מתוכנית סיכונים ולברור היכן רמות הגנה נדרשות. במערכות קריטיות נדרשת הגנה נרחבת הכוללת אמצעים רבים ומורכבים ומערכת הגנת סייבר הכולל נהלים, ציוד ובעיקר כוח אדם מיומן ומאומן. לכך נדרשת רגולציה המתואמת לסיכון.

דוד פלדמן:  לא צריך יותר מדי. לא צריך לשלוח טיל מצפון קוריאה. יכולה לשבת יחידה קיברנטית באיזשהו מקום, להתחבר אלינו ולעשות נזקים. אני יודע שחלק מהעולם המקביל לעולם הרפואי, עולם המכשור הרפואי, הולך ומתקדם טכנולוגית ומתחבר לרשתות. תחשבו על ראש ממשלה שהולך לבדיקה רפואית בבית חולים ומישהו מתחבר מרחוק… אני חושב שאנחנו בנקודת הקפיצה לשלב הבא שבו תהיה הפרדת רשתות מוחלטת.

דן רבינוביץ':   ישנם מומחים אשר משווים את מצבינו הנוכחי בעולם האינטרנט והסייבר למאה ה-15, כאשר התגלה העולם החדש: מחד, עולם שופע פוטנציאל והזדמנויות; מאידך, עולם פרוע, מלא סכנות, נטול חוק וסדר. בהעדר הגנה אמיתית ברמה לאומית, כמו אז, לעיתים השאלה הינה האם "לחכות לחיל הפרשים" או "לצאת עם הרובה" ולהשיב מלחמה. מבחינה חוקית ואתית הסוגיה מורכבת ונדמה שבארץ טרם התגבשה מסגרת אופרטיבית ומשפטית מקיפה ואפקטיבית בנושא. פעם חילקנו את ההאקרים ל"כובעים לבנים" ול"כובעים שחורים". היום יש כבר הרבה יותר כובעים והאקרים "עובדים" בכל הצדדים. לדוגמא, היום מדברים על ethical offensive hacking – שיטת הגנה מתקדמת ואפקטיבית, אך גם מעוררת שאלות לגבי האם נכון ולגיטימי לתת לכל אחד היתר שימוש בטכניקות של התקפה לצורך הגנה. אגב, אומרים שברוסיה פתרו את הסוגיה הזאת בפשטות: לתקוף מחוץ לרוסיה מותר, לתקוף בתוך רוסיה אסור.

שי זנדני:  ISACA העולמית, ארגון של למעלה מ-115 אלף חברים, חרט על דגלו לקדם את העולם של ביקורת מערכות מידע, אבטחת מידע, ניהול סיכונים וממשל IT, ויוצר עכשיו את הסט הבא של ההסמכות בתחום. אין ספק שבשנים הקרובות העולם יידרש לאנשי מקצוע מיומנים המעודכנים באופן קבוע במגמות העולמיות. איך בהקשר הזה אתם מרגישים בארגונים שלכם? האם יש לכם את כוח האדם המתאים להתמודד עם האתגרים האלה? איך ארגונים כמו ISACA יכולים לתרום להעלאת הרמה המקצועית של תחום הסייבר?

אלי כהן:  הרגולציה הכרחית להגנה על אזרחי המדינה, לדוגמא: חברות אשר מעבירות את מערכות המידע שלהם אל מחשוב ענן עושות זאת בעיקר על מנת לצמצם עלויות ולאפשר השקת מוצרים מהירה יותר, האם הנתונים שלנו האזרחים מוגנים? מי קובע איזה נתונים ניתן להעביר למחשוב ענן ואיזה חייבים להישאר בארגון? כל הנושאים הללו הינם נושאים רגולטורים שחייבים לתת עליהם את הדעת.

כמו כן, המדינה בעיני היא הגורם אשר אמור להגן ולהתריע על התקפות על אתרים ישראליים, זהו כורח המציאות ויפה שעה אחת קודם, אני יודע שנעשים מהלכים משמעותיים ברמה הלאומית לנטר את המערכות.

דוד פלדמן:  המספרה שלך עוברת ביקורות של תברואה, במסעדה בודקים גם את המזון, בבריכה עושים ניטור למים. מתי בפעם האחרונה מישהו בדק את רמת הידע של אנשי ה-IT  שלו?

שרון עוזיאל:  סייבר הוא תחום מולטי-דיסיפלינרי ולכן האתגר הגדול הוא ליצור את הנבחרת או הצוות המתאים בארגון. חינוך והסמכת אנשים הוא נושא מהותי וחיוני אך מייצג את מה שכבר ידוע. אותי באופן אישי מטריד התחום הלא ידוע וכאן צריכה להיות חשיבה מחוץ לקופסה וגיוס כוח אדם מתאים – משימה לא פשוטה.

אילן עבדי:  כוח אדם איכותי הוא מצרך מבוקש מאוד בתעשייה הזו. לי היו שתי משרות פתוחות כמעט שנה, וטבע ידועה כחברה שרבים רוצים לעבוד בה בכלל, ואטרקטיבית כמקום עבודה באבטחת מידע בפרט. האתגר הוא להביא את האדם המתאים עם הראייה הנכונה והמקצועיות הנדרשת בזמן שרבים העונים על דרישה זו נמשכים בדרך כלל  לסטארט אפ.

גאורגי ויינבלט: קשה למצוא כוח אדם מתאים, כי זה שוק חדש. העולם הזה של מערכות סקאדה,SCADA (Supervisory control And Data Acquisition), והמתקפות עליהן, מהוות נושא חדש לחלוטין בתחום הסייבר, ולא נמצא בעין הציבור. בניגוד לגופי הטלקום, שמהירים יותר מבחינת אימוץ טכנולוגיה, גופי ה-Utilities הגדולים איטיים יותר, וגם סוחבים מערכות מיושנות וכבדות לתפעול. הטכנולוגיות ש-ECI מפתחת כגון Network Anomaly Detection ייתנו מענה גם ללקוחות בעלי תשתית מסוג זה.

דן רבינוביץ': בארץ יש המון מומחים בתחום אבטחת מידע, רובם ברמה טכנית גבוהה ביותר. מאידך, יש מעטים שמחברים בין העולם הטכנולוגי לעולם ניהול הסיכונים, הרגולציה, הממשל, והאסטרטגיה, לעיצוב ארכיטקטורה נכונה של אבטחת מידע עבור ארגון ספציפי. יש קושי למצוא עובדים טובים, בעלי יכולות טכניות וניהוליות יחד, המסוגלים לנהל סיכוני סייבר מעבר להיבטים הטכנולוגיים. ייתכן כי הפתרון הוא בבניית צוותים בהם יוצרים סינרגיה בין מומחים טכנולוגיים לבין מנתחי תהליכים וסיכונים, אבל בואו נהיה הוגנים: כמה ארגונים ירשו לעצמם לנהל צוותים כאלו בתחום אבטחת מידע בלבד??

שי זנדני:  מה התחזיות שלכם לשנים הקרובות? נסו להתייחס להתקפות, לטכנולוגיה ההגנתית ולהיערכות.

ליאור כוכבי: בעיית כ"א מומחה בתחום הסייבר הינה בעיה כלל עולמית, העולם הטכנולוגי עובר מהפכה בשנים האחרונות בו הושקעו מאמצים וכספים רבים בפיתוח מוצרים מתקדמים אך בפועל, אין כ"א מיומן שיודע להפעיל אותם וכך מאות מוצרי אבטחה שונים שארגונים קנו אינם נותנים מענה אבטחתי מהסיבה שאין מי שיתחזק אותם, לדוגמא ההתקפה על טארגט בארה"ב  בה נגנבו מיליוני פרטי לקוחות, מערכות האבטחה השונות סיפקו עשרות התראות לאורך מספר חודשים רב אך אנשי האבטחה המצומצמים לא הגיבו. סיירן משקיעה לאחרונה משאבים רבים לפיתוח כלים אוטומטיים של כריית מידע ולימוד מכונה מתקדם שיספקו מידע ממוקד יותר ויכולת מניעת ההתקפה  במטרה להקל על מצוקת כ"א בארגונים ולהגביר את רמת האבטחה.

שרון עוזיאל: אורקל משתפת פעולה עם גורמים רבים בתעשייה והאקדמיה בארץ ובחו"ל כדי לנסות ולהעריך מהם האתגרים הבאים בתחום זה ובכלל. מה שכבר ידוע שמהפכת המידע הבאה והדיגיטליזציה של אובייקטים ואירועים פיזיים תוסיף מימדים רבים למודל המידע, תגרום להצפת מידע, תשפיע על שכבות העיבוד באופן דרסטי וכפועל יוצא תשנה את כללי פרדיגמות הניתוח וההיסק בפתרונות הקיימים. לכן בהיבט הטכנולוגי, אורקל מקדמת את משפחת המערכות המהונדסות המשלבת חומרה ותוכנה לנפחים עצומים ולביצועים מקסימאליים ובמקביל מפתחת משפחה של מוצרים וכלים אנליטיים המהווים פריצת דרך בתחומי העיבוד המתקדם בדגש על פשטות ופיתוח מעטפת כוללת לטכנולוגיות עיבוד שונות שכבר נמצאות בשימוש בתעשייה. אורקל גם מובילה קונספציה של פלטפורמת סייבר אחודה, גמישה ופתוחה המשלבת יישומיי סייבר מתקדמים למטרות מחקר ופיתוח ומקדמת שיתופי פעולה בין ארגונים ותעשיות בתחום הסייבר מתוך אמונה שפתרון כולל שכזה יתרום לתהליכי סטנדרטיזציה ושיתוף מידע המהווים אבן דרך משמעותית בהקמת מערך הגנה כולל.

אלי כהן:   מניסיוני, אכן מדובר בצורך אמיתי של ארגונים אשר מתמודדים עם רמת רגולציה הולכת ועולה, וכ"א שחסר בתחום. בקונאקט אי טי אנחנו מציעים שירותים בדיוק בחוסרים הללו של ארגונים, מומחים אשר מכירים לעומק את עולם התקנים והרגולציה והם גם מומחים טכנולוגיים ברמה הגבוהה ביותר.בעולם הבינו את הבעייתיות בגיוס מומחים לארגונים ואנחנו רואים יותר ויותר העברת פעילויות לחברות מתמחות בנושא אבטחת מידע וסייבר.

דן רבינוביץ': ראשית, מבחינת התקפות אנחנו נראה שתופעת הבוטנטים תמשיך להתפתח, והתקפות אלו יהיו עוצמתיות יותר, לא רק מבחינת כמות הבוטים המופעלים, אלא בעיקר בשל האיכות והתחכום שלהן. שנית, נהיה עדים ליותר התקפות על אובייקטים שמתחילים להתחבר לאינטרנט. כבר לא מדובר במדפסות או במכונות צילום, אלא במערכות המיזוג והתאורה של המשרד, במכוניות, במקררים ובמכונות כביסה. יתכן כי בעתיד הקרוב, נקודת התורפה של "טבע" עלולה להיות דווקא מכונת הקפה של "בזק בינלאומי". גם התחום של המובייל הולך להיות הרבה יותר חשוף. בנוסף, במקביל לאחוד עולם ה-IT וה- OT, נראה התקפות אשר יתחילו בתחום הסקאדה ויסתיימו במערכות מידע כספיות או תפעוליות. מבחינת ההיערכות לסכנות אלו, ברמת המגזרים העסקיים, הבנקים כבר משתפים פעולה ביניהם וכך גם בעולם התשתיות הלאומיות. מאידך, בעולם העסקים הבינוניים והקטנים עדיין לא קיים שיתוף פעולה וההיערכות הינה מינימאלית. ברמה לאומית, ההיערכות לסיכוני סייבר צריכה להיבנות בכמה נדבכים, לרבות ברמה משפטית רגולטורית וברמה כלכלית. בין היתר, חייבים להוזיל את מוצרי אבטחת המידע ואת מערכות ההפעלה. מבחינה טכנולוגית, עבור חברות בינוניות וקטנות הפתרון טמון בעיקר בשירותי אבטחת סייבר בענן.

דוד פלדמן:  קשה לדמיין לאן אנחנו הולכים. כמו שאומרים שיש הרבה שסעים בחברה הישראלית, כך יש הרבה אלמנטים בתוך הווקטורים האלה. כוח המחשוב עולה, יש מדינות שלמות שמצטרפות לדבר שקוראים לו אינטרנט, שכרגע אף אחד לא מתייחס אליהן. יש לנו יבשת שלמה שקוראים לה אפריקה, החבר'ה האלה כבר לומדים לרוץ. הם מדלגים על טכנולוגיות ואת כל בעיות האבטחה שחווינו הם הולכים לעבור בלי למצמץ. אחד הפתרונות הכוללים הגדולים הוא עדכונים לווינדוס: אם מחר בבוקר מיקרוסופט מחליטה שכל ווינדוס בעולם, חוקי או לא חוקי, מקבל עדכון אבטחה, זה מוריד את רמת הפגיעות.

שולחן עגול סייבר 4

צילום: עומר ארמוני

גאורגי ויינבלט: לדעתי המגמה של מיקוד חזק של התוקפים במטרה ספציפית שאותה הם רוצים להשיג, בין אם היא פוליטית ובין אם היא עסקית, תגדל. היום לא עושים התקפות לשם ראוותנות. העולם של השירותים ברשת (Crime as a Service), שבו אתה יכול לקנות איזה התקפה שתרצה שמכוונת למישהו ספציפי, יגדל.  בעתיד, יהיה צורך לחלוק ידע על מתקפות חדשות בין לקוחות עסקיים שונים. לדוגמא כל כרטיס או appliance של NFV מחוברים גם לשירות ענן של ECI המאפשר Cyber Collaboration.

אלי כהן:  אני חושב שעוד לא ראינו כלום מבחינת הסיכונים הקיימים על העולם בתחום הסייבר, המלחמה העתידית אינה דאעש אלא קבוצות טרור אשר בעזרת טכנולוגיה לא יקרה במיוחד, תנסה לבצע נזקים אדירים, המטרה הראשונית היא כמובן התשתיות הלאומיות, חברת החשמל, התחבורה, מים וכדומה. ככל שהמערכות יהפכו להיות אוטומטיות ומתוחכמות כך הן יהפכו להיות פגיעות יותר ויותר.50 מיליארד מכשירים מחוברים לרשת עד 2020 על פי התחזיות יאפשרו דברים מדהימים לאנושות אך אם זאת יהפכו את הרשת למקום פגיע יותר ויותר אשר יחייב מעגלי אבטחה ושיתופי פעולה ברמת מדינות וצבאות כפי שקיים היום בעולם הפיזי.

אילן עבדי:  החברות הגדולות יצטרכו לקחת את האחריות כי רוב העסקים לא יוכלו להתגונן ברמות האלה. הנושא של האקסטורשן, הסחיטה, צובר תאוצה –  לא כולם עושים מערך גיבוי און ליין/אוף ליין, פשוט מצפינים לך את המידע ואם אתה לא נותן עכשיו 100,000 דולר, לא תוכל לעבוד. הקצב הוא כל כך מהיר שחייבת להיות היערכות ברמה הממשלתית וברמה של חברות ISP, ממש התאחדות,  בלית ברירה. בהיבט הטכנולוגי יש מהפכה בשוק הטלקום, שהיא מושתתת בחלקה על טכנולוגיית הענן. עכשיו, התקפות על תחנה גדול הן לא רק היכולת להגיע לאותו מקום, אלא גם המידע שאני שואב בזכות ההתקפה. יהיו התקפות שמבוססות על טכנולוגיות חדשות והן יגברו ככל שהטכנולוגיות האלה יבשילו. יש קטע בסרט "מטריקס" שבו מישהו מציע שני כדורים. אם תיקח את האדום, תדע הכול. אם תיקח את הכחול, תשכח ותחשוב שהכול בסדר. אני חושב שהאזרח צריך לקחת את הכחול. אנחנו, כי אנחנו מתפרנסים מזה, צריכים לקחת את האדום. הקצב של חברות האבטחה והקצב של הרגולציה לא יעמוד בקצב של הטכנולוגיה ונהיה חשופים להתקפות שהן קשות, ויותר מתוחכמות. כבר עכשיו, אנחנו רואים ארגונים גדולים, בריאים ועשירים, שנפרצים. גם לגופים שיש להם את המשאבים ואת האנשים ואת הכסף לא תהיה חסינות. עם זאת, יש לנו דרכים להתגונן בתקופת המעבר עד שהחברות יצליחו להדביק את הקצב הטכנולוגי מול האיומים, והמדינות יעשו את הרגולציה הנדרשת וכל הדברים האלה. לדעתי הנטל יהיה על הכתפיים של חברות ה-ISP והחברות המובילות, כי העסקים הבינוניים לא יוכלו להתגונן ברמות האלה.

אדי גולדנשטיין: בהמשך לנושא השותפות בין החברות שעלה קודם, לרוב אירועי אבטחת מידע או סייבר מהווים מידע רגיש וחברות לא נוהגות לחשוף מידע זה אלא אם מחויבות על פי החוק. אני שמח לספר על סוג שיתוף פעולה קצת שונה ובמסגרתו, בזק בינלאומי שותפה לאורך מספר שנים במאגד סייבר יחד עם חברות אבטחה גדולות, מספר סטארט-אפים, ונציגי אקדמיה. המטרה של המאגד היא לשלב כוחות ולשתף פעולה בחקירת איומי הסייבר ומציאת פתרונות הולמים. כתוצאה משיתוף פעולה זה בזק בינלאומי מקבלת ידע והבנה נרחבת יותר באיומי הסייבר וכמובן שידע זה מתורגם לשיפורי מערכי ההגנה שלנו ושל הלקוחות שלנו. כמו כן, אנחנו נהנים משימוש בטכנולוגיות החדישות ביותר שטרם נגישות לשוק הרחב וזוכים להשפיע גם  על פיתוח הפתרונות העתידיים בתחום. כעקרון, בזק בינלאומי דוגלת בחדשנות ובשנים אחרונות לא מעט פתרונות חדשניים שולבו במערכי  ההגנה שלנו. לגבי השנים הקרובות, אני רואה איום לא מבוטל המגיע מעולם המובייל. זה כבר קורה בעולם: מקרים כמו בבריטניה כאשר הנוזקות  נועלות ומצפינות את המכשיר עד שאתה משלם את הכופר, ברוסיה התוודענו למקרים בהם גוזרים קופון על שליחת -SMSים  ליעדי פרמיום ללא ידיעת המשתמש, גם בארץ ראינו במהלך השנה מקרה ראשון של הפצת וירוס לאנדרואיד

שי זנדני: לא דיברנו על כל התשלומים המקוונים, הארנקים הדיגיטליים, שזו הולכת להיות מטרה מרתקת להתקפות. שם כל נושא המובייל יהיה מאוד רלוונטי. אני אולי האופטימיסט הרציונל, אני חושב שהתחזיות האפוקליפטיות טובות לנו כי השוק נערך ביתר שאת. המודעות הולכת וגוברת וגם פה, בתחילת נובמבר, אנחנו עושים כנס שנתי בינלאומי שאליו יגיע נשיא איסקה העולמי. יש מדינות בעולם, דוגמת הודו וארה"ב, שהחליטו ברמה הממשלתית להרחיב את עולם ההכשרות לסייבר כי הבינו שצריך להיות די כוח אדם מוכשר כדי להתמודד. בישראל, כרגיל, הדברים נעשים אבל קצת יותר לאט. אבל יש לנו תשתית מצוינת, בעיקר דרך גופים ביטחוניים.

ניסן משכיל:  מרחב הסייבר נמצא רק בתחילת דרכו, ולכן קשה להעריך את מידת הסיכונים בתקיפות מתקדמות מעבר לידוע כיום. מימד ההגנה האישי בסייבר יכול להתפתח הרבה מעבר לסוגי התקיפה כיום ולגרום לפגיעות כלכליות או פיסיות ברמה בודדת. ניתן לראות את השימוש הנרחב במימד הדיגיטלי בכל תחומי החיים. בחזיון תקיפת סייבר על עיר, הראו שניתן לשתק עיר. נטרול מערכות מים, תקשורת ,חשמל, תחבורה וכו. ללא השימוש בהם תוך מספר ימים עיר קורסת ואינה מתפקדת. נושא מרחב תקיפת סייבר הוא מורכב יותר מהגנת מידע. היכולות של תקיפות לגרום לאיבוד שליטה על כלי רכב או מטוס , או מערך תנועה עירוני יכול לגרום לנזקים קינטיים מיידיים והדמיון הוא רחב בתחום. פיתוח יכולת של ניהול בקרת הסיכונים בתחום הגנת סייבר  , והיכולת לפתח מודיעין לגילוי מוקדם יהיו תחומי עניין שיעצימו את יכולות הגנה בעתיד הקרוב.

ליאור כוכבי:  ע"פ התחזיות שלנו , מספר תחומים מרכזיים יובילו את עולם הסייבר בשנים הקרובות:

  1. עולם BYOD – אין יותר משמעות למחשב אישי או רשת ארגונית אנו מתחברים ממיגון רחב של מכשירי קצה למגוון רחב של רשתות מכל מקום בעולם, הגנת "החומה הארגונית" הקיימת אינה רלוונטית יותר.
  2. תשתיות קריטיות – בניגוד לעולם ה-IT והתקשורת המתקדמים ומאופיינים בסטנדארטיים, עולם התשתיות (SCADA), נותר מאחור עם ציוד בן עשרות שנים וללא יכולת מענה אמיתית לאיומים החדשים.
  3. "אינטרנט של המוצרים" – כול רכיב בחיינו מחובר לרשת: ציוד ביתי, רכבים, מכשור רפואי וכד' ולכן חושף אותו בכל רגע לאיום מתמיד. צורך זה מציב אתגרים חדשים בין הרצון לנוחות שימוש וקדמה לבין צמצום הסכנה.
  4. תקשורת מאובטחת (SSL) – מרבית האתרים ברשת כיום שמספקים שירותים או רשתות חברתיות, מצפינים את המידע מטעמי שמירת פרטיות הלקוח אך עם זאת מרבית מוצרי האבטחה הקיימים כיום ומנטרים את הרשת אינם אפקטיביים ומהווים קרקע פורייה לגל התקפות חדש.

שי זנדני: תחום הסייבר מורכב ומגוון. קיימים גם איומים הקשורים לתחום המסחר האלקטרוני – תשלומים מקוונים וארנקים דיגיטליים לאור חידושים כמו של גוגל ואפל, וברור שיהיו מטרה להתקפות. ישנו גם האתגר הקשה של גניבת זהויות באמצעים מתוחכמים. ועדיין, לדעתי, התחזיות האפוקליפטיות דווקא משרתות את המטרה משום שהן מבטיחות שנערך לתרחישים הגרועים ביותר. המצב כיום הוא שהיקף וקצב האיומים גדול ומהיר יותר מהיקף התקציבים הארגוניים המושקעים בהגנה. לפיכך, ארגונים יידרשו לתעדף את ההשקעות שלהם כדי להתמודד עם איומים דינמיים, המשתנים ללא הרף. ISACA, פועלת רבות להגברת המודעות בתחום ומפרסמת מחקרים מרתקים מרחבי העולם בנושאי הסייבר המתקדמים. (ניתן להורדה מאתר הארגון). בנוסף, ב-3 בנובמבר אנו עורכים את הכנס השנתי במתחם יס פלאנט בראשון לציון במעמד נשיא ISACA העולמי, מר רוברט סטראוד.

אודות מערכת ITnews

נגישות